Assunto: Resposta ao Ofício nº 30/ PPGPGP-CT Referência: Caso responda este Ofício, indicar expressamente o Processo nº /

(1)

Ministério da Educação

UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANÁ Colégio Eleitoral

designado pelas Portarias do Reitor nº 343/2020 e 684/2020

(http://portal.utfpr.edu.br/comissoes/consulta/consulta-para-reitor-2020)

Ofício nº 37/2020 - COLÉGIO ELEITORAL

Curitiba, 26 de junho de 2020. Do: Presidente do Colégio Eleitoral

Para: sr. Antonio Gonçalves de Oliveira - Coordenação Campanha Candidato Schiefler

Assunto: Resposta ao Ofício nº 30/2020 - PPGPGP-CT

Referência: Caso responda este Ofício, indicar expressamente o Processo nº 23064.019197/2020-63.

Prezado Senhor,

O Colégio Eleitoral, em conjunto com o presidente da Comissão Técnica, prevista em regulamento, tendo analisado os pedidos feitos pelo coordenador de campanha do candidato Marcos Flávio de Oliveira Schieﬂer Filho, servidor Antonio Gonçalves de Oliveira, no processo SEI nº 23064.019197/2020-63, O cio nº 30/2020 (doc. SEI 1490885), informa que tais pedidos não estão previstos no Regulamento Eleições para Reitor 2020, aprovado no COUNI (Deliberação nº 13/2020). O que está previsto no regulamento aprovado pelo COUNI (Deliberação nº 13/2020) é o seguinte:

“Art. 25. O Sistema Helios Vo ng será personalizado para a consulta à comunidade e poderá ser fiscalizado, mediante às seguintes etapas:

I - A Comissão Técnica publicará no dia 10/06/2020 o código fonte personalizado para o pleito na UTFPR, ﬁcando este disponível publicamente para veriﬁcação e comparação com a versão não-personalizada no Sistema Helios Voting.”

Quanto a este item do regulamento, a Comissão Técnica informa que isto já está publicado na página do Colégio Eleitoral.

“II - A Comissão Técnica publicará, na mesma data e local, o código HASH MD5 correspondente a cada arquivo compondo a versão customizada do Sistema Helios Voting.”

Quanto a este item do regulamento a Comissão Técnica informa que isto já está publicado na página do Colégio Eleitoral.

“III - Caso a votação simulada do dia 23/06 indique a necessidade de alguma

(2)

alteração do Sistema, um novo código será publicado com novo HASH MD5.”

Quanto a este item do regulamento a comissão técnica informa que o processo de votação simulada ocorreu sem anormalidades e que o relato da votação simulada está publicado na página do colégio eleitoral.

“IV -É facultado a cada candidato nomear um ﬁscal técnico, para realizar a auditoria dos códigos em execução do Sistema Helios Vo ng operando no dia do pleito, sob supervisão dos responsáveis pelo sistema.”

Quanto a este item do regulamento, o fiscal técnico do candidato Marcos Flávio de Oliveira Schiefler Filho é o acadêmico sr. Douglas do Amaral, RA 1758209, que acompanhou o processo da configuração do sistema Helios Vo ng no dia 19/6/2020 para a votação simulada, e que poderia, se desejasse, acompanhar no dia 26/06/2020 a configuração do sistema para a votação defini va, podendo realizar ques onamentos per nentes ao tema, caso vesse alguma dúvida. Salientamos que neste ato es veram presentes o auditor do Tribunal Regional Eleitoral (TRE-PR) e o auditor da Polícia Federal.

“V - A indicação do ﬁscal técnico deve ser realizada até o dia 08-Jun-2020 e deve atender o prescrito no Art. 33.”

Quanto a este item do regulamento o candidato Marcos Flávio de Oliveira Schiefler Filho indicou o acadêmico sr. Douglas do Amaral, RA 1758209, que já acompanhou o processo de votação simulada e que poderia ter acompanhado o processo de configuração da votação defini va, no dia 26/06/2020, mas não compareceu. Entretanto, caso deseje, poderá acompanhar a apuração, fisicamente, na sala de reuniões da reitoria, no dia 30/06/2020, a partir das 18 h.

“VI - A UTFPR solicitará ao Ministério Público, Polícia Federal e/ou ao Tribunal Regional Eleitoral, sem prejuízo de outras auditorias concorrentes, o acompanhamento e auditoria de todo o processo de votação até o ﬁnal da apuração de votos.”

Quanto a este item do regulamento, o Colégio Eleitoral informa que o auditor pelo TRE é sr. Claudemir Pereira de Carvalho, e o auditor pela Polícia Federal é o perito sr. Silvino Schlickmann Junior, conforme já publicado na página do Colégio Eleitoral.

Complementarmente, o art. 6º do aludido regulamento estabelece as competências da Comissão Técnica, que foi designada pela Portaria UTFPR nº 703/2020, atendendo ao que dispõe o § 2º do artigo 1º do regulamento. As competências da Comissão Técnica são:

“a) criar a eleição, em conformidade com o estabelecido no Art. 24; b) cadastrar os candidatos;

c) carregar a lista dos eleitores com nome completo e endereço de e-mail; d) cadastrar o perfil Apurador;

e) enviar e-mail, via Sistema Helios Voting, com informações para acesso ao voto; f) disponibilizar o resultado da consulta por meio do envio de e-mail para os eleitores;

(3)

g) enviar dados da eleição ao Colégio Eleitoral, como a listagem de votação da respec va urna, contendo o número de votos, por segmento e por câmpus, atribuídos a cada candidato, número de votos em branco e número de votos nulos; e

h) monitorar processo de votação, compreendendo preparação, abertura, votação, apuração e auditoria (art. 6º do regulamento aprovado pela Deliberação COUNI nº 13/2020).”

Além disso, o ar go 21 do referido regulamento de consulta para reitor 2020, aprovado pela Deliberação COUNI nº 13/2020, cita que:

"Art. 21. O Sistema Helios Vo ng, empregado no processo de consulta à comunidade, terá os seguintes perfis de usuários:

Administrador: perfil des nado para configurar o início e o encerramento da votação, configurar as urnas, apurar os resultados juntamente com o Apurador e os candidatos ou seus fiscais indicados (Art. 35) e gerar os relatórios finais;

Apurador: perﬁl des nado a gerar a chave de segurança da consulta, realizar a abertura das urnas e a apuração dos votos, mediante uso da chave de segurança; e

Eleitor: perﬁl des nado a todos os eleitores, os quais serão previamente cadastrados e validados pelo Colégio Eleitoral.

§ 1° Para o acompanhamento pela comunidade universitária e controle social, a presidência do Colégio Eleitoral fará transmissão online, no canal da UTFP R, do fechamento das urnas eletrônicas e apuração.

§ 2° A chave de segurança será armazenada em uma unidade flash USB (pen drive), e seus backups, gerada pelo Apurador por ocasião da configuração das urnas na presença dos candidatos ou de seus fiscais indicados (Art. 35), ficarão em um envelope selado pelo presidente do Colégio Eleitoral e pelos candidatos ou seus fiscais até o momento do início da apuração, quando este envelope será aberto na presença destes" (grifos nossos).

O regulamento também estabelece os procedimentos para a realização da consulta para reitor, na forma do art. 3º do regulamento aprovado pela Deliberação COUNI nº 13/2020. Também o art. 42 do citado regulamento faz alusão ao “CALENDÁRIO DAS ATIVIDADES DA CONSULTA À COMUNIDADE” em que estão previstas todas as a vidades a serem realizadas no processo de consulta para reitor, de que trata a Deliberação COUNI nº 13/2020. Este calendário além de constar no regulamento, está publicado na página do Colégio Eleitoral, em destaque.

Lembramos, ainda, que o art. 31 do regulamento aprovado pela Deliberação COUNI nº 13/2020 prevê também o acompanhamento da apuração pelo candidato ou pelo ﬁscal de apuração por ele indicado.

Como é sabido e está publicado na página do Colégio Eleitoral, o candidato Marcos Flávio de Oliveira Schieﬂer Filho indicou um membro para fazer parte da comissão técnica (servidor Wilson Horstmeyer Bogado, conforme Portaria UTFPR nº 703/2020), e, na forma do art. 25, inc. IV e V, e do art. 33 do regulamento aprovado pela Deliberação COUNI nº 13/2020, indicou um Fiscal Técnico (sr. Douglas do Amaral - RA nº 1758209) que podem e devem ﬁscalizar todo o processo juntamente com a Comissão Técnica, dessa forma mostrando a total transparência e re dão dos dezoito servidores que fazem parte da referida Comissão Técnica (Portaria UTFPR nº 703/2020).

Por ﬁm, o art. 41 do regulamento aprovado pela Deliberação COUNI nº 13/2020 previu a possibilidade de impugnação do regulamento, o que não ocorreu.

(4)

Abaixo transcrevemos os e-mails enviados pelo Colégio Eleitoral aos ﬁscais técnicos e de apuração, lembrando-os das ações previstas em calendário.

E-MAIL - 1484626

Data de Envio: 18/06/2020 17:41:05 De:

UTFPR/Colégio Eleitoral <consultacomunidade@utfpr.edu.br> Para:

joilson@utfpr.edu.br erig@utfpr.edu.br brunot@utfpr.edu.br Assunto:

Informação Colégio Eleitoral Mensagem:

Prezado Senhor,

O Colégio Eleitoral informa V.Sa. que amanhã, dia 19 de junho de 2020, a par r das 14 horas, será transmi da a conﬁguração da votação simulada, prevista no cronograma do regulamento. A transmissão poderá ser assis da pelos membros do Colégio Eleitoral, da Comissão Técnica e Fiscais de Apuração, acessando o link h ps://www.youtube.com/channel/UCHkX IOaI2YV2sfzXfr0_M-w/live

Lembrando que a votação simulada está agendada para ocorrer dia 23/06/2020, das 6 h às 18 h. Atenciosamente, Colégio Eleitoral E-MAIL - 1485986 Data de Envio: 19/06/2020 13:58:57 De:

erig@utfpr.edu.br brunot@utfpr.edu.br Assunto:

Prezados,

Caso estejam com diﬁculdade de acessar o link informado no e-mail anterior sobre transmissão da configuração da votação simulada, também está disponível o link a seguir.

https://www.youtube.com/watch?v=yE6GsnomSEM Ficamos à disposição. Att. COLÉGIO ELEITORAL E-MAIL - 1486242 Ofício 37 (1497968) SEI 23064.019197/2020-63 / pg. 4

(5)

Data de Envio:

19/06/2020 15:14:32 De:

UTFPR/Colégio Eleitoral <consultacomunidade@utfpr.edu.br> Para:

erig@utfpr.edu.br brunot@utfpr.edu.br

Assunto:

Informação Colégio Eleitoral Mensagem:

Em complemento ao e-mail anterior, foi disponibilizado mais um link para acompanhar a transmissão.

https://www.youtube.com/channel/UCSzNkSeerKb2e9FM1knbBqA/live

A conﬁguração do sistema está ocorrendo normalmente pela Comissão Técnica com o acompanhamento presencial dos ﬁscais técnicos indicados pelos candidatos, assim como do auditor externo. Att. COLÉGIO ELEITORAL E-MAIL - 1489541 Data de Envio: 22/06/2020 16:54:23 De:

claudemir@tre-pr.jus.br Assunto:

Prezado Sr. Claudemir,

O Colégio Eleitoral informa que amanhã, dia 23/06/2020, a partir das 18:00 horas, será dado início à apuração da votação simulada na Sala de Reuniões da Reitoria da UTFPR.

Contamos com sua presença no referido evento. Agradecemos antecipadamente. Att. COLÉGIO ELEITORAL E-MAIL - 1489745 Data de Envio: 22/06/2020 18:11:51 De:

(6)

claudemir@tre-pr.jus.br Assunto:

Prezado Sr. Claudemir.

Agradecemos o pronto retorno e informamos que no link h ps://portal.u pr.edu.br/comissoes/consulta/consulta-para-reitor-2020 estão disponibilizadas as informações sobre a consulta para reitor 2020 da UTFP R, bem como o Regulamento da referida consulta, na seção "Documentos".

Agradecemos mais uma vez e permanecemos à disposição. Att. COLÉGIO ELEITORAL E-MAIL - 1490087 Data de Envio: 23/06/2020 08:56:51 De:

douglasamaral@alunos.utfpr.edu.br douglasrenaux@utfpr.edu.br

Assunto:

Prezados Senhores.

Hoje a par r das 18:00 horas, na sala de reuniões da Reitoria da UTFP R, será realizada a apuração da votação simulada. Ocorrerá na presença dos fiscais de apuração.

Consideramos importante também a presença dos ﬁscais técnicos para que veriﬁquem o ciclo completo. Att. COLÉGIO ELEITORAL E-MAIL - 1494970 Data de Envio: 25/06/2020 13:42:52 De:

douglasamaral@alunos.utfpr.edu.br

(7)

douglasrenaux@utfpr.edu.br claudemir@tre-pr.jus.br schlickmann.ssj@pf.gov.br

Assunto:

Prezados Senhores.

O Colégio Eleitoral e a Comissão Técnica informam V.Sa. que amanhã, dia 26 de junho de 2020, a par r das 14 horas, na Sala de Reuniões da Reitoria da UTFP R, será realizada a conﬁguração da votação para a consulta a reitor, prevista no cronograma do regulamento, com a presença dos fiscais técnicos dos dois candidatos e dos auditores Claudemir Pereira de Carvalho do TRE, e Silvino Schlickmann Junior da Polícia Federal.

Atenciosamente, Colégio Eleitoral E-MAIL - 1468943 Data de Envio: 08/06/2020 16:59:28 De:

schiefler@utfpr.edu.br Assunto:

Indicação de Fiscal Técnico e organizadores debates Mensagem:

Prezado candidato,

Informamos que foram recebidas e registradas as indicações de um ﬁscal técnico e dois organizadores de debates. Att. COLÉGIO ELEITORAL E-MAIL - 1476997 Data de Envio: 16/06/2020 10:32:38 De:

schiefler@utfpr.edu.br Assunto:

(8)

Prezado Candidato,

Lembramos que dia 19/06/2020, às 14 horas, na sala de reuniões da Reitoria, o ﬁscal técnico poderá acompanhar a configuração da votação simulada.

Obs.: Obrigatório uso de máscara. Ficamos à disposição.

Att.

Colégio Eleitoral

Mediante o exposto, o Colégio Eleitoral e a Comissão Técnica entendem que as ações que estão sendo tomadas atendem ao que dispõe o regulamento de consulta para reitor, aprovado pela Deliberação COUNI nº 13/2020, e se coloca à disposição na forma prevista.

Atenciosamente,

Jair Ferreira de Almeida Presidente do Colégio Eleitoral

Documento assinado eletronicamente por JAIR FERREIRA DE ALMEIDA, PRESIDENTE DO COLÉGIO ELEITORAL, em 26/06/2020, às 18:29, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A auten cidade deste documento pode ser conferida no site https://sei.utfpr.edu.br/sei/controlador_externo.php? acao=documento_conferir&id_orgao_acesso_externo=0, informando o código veriﬁcador 1497968 e o código CRC

B9E6DF01.

Referência: Caso responda este Ofício, indicar expressamente o Processo nº 23064.019197/2020-63 SEI nº 1497968

(9)

Ministério da Educação

UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANÁ UTFPR - CAMPUS CURITIBA

DIRETORIA GERAL - CÂMPUS CURITIBA DIRETORIA DE PESQUISA E POS-GRADUACAO-CT

PROG. POS-GRAD. PLAN. GOV. PUBLICA - CT

Avenida Sete de Setembro, 3165 CEP 80230901 Curitiba PR -Brasil

Telefone: (41) 3310-4545 - www.utfpr.edu.br

Ofício nº 30/2020 - PPGPGP-CT

Curitiba, 23 de junho de 2020. A(o) Sr(a).

Presidente do Colégio Eleitoral

Assunto: Geral: Análise e Encaminhamento de Documentos - Relatório/Recomendações Colégio

Eleitoral - (in)segurança do Sistema Helios Voting

Referência: Caso responda este Ofício, indicar expressamente o Processo nº 23064.019197/2020-63.

Senhor presidente do Colégio Eleitoral

Referente – Fiscalização Técnica – fragilidades sistema/procedimento de votação – evidenciação/recomendações

Cumprimentando-o cordialmente, na condição de “cidadão” eleitor e de membro da Coordenação de campanha do candidato Schiefler na Consulta para escolha de reitor da UTFPR para o

quadriênio 2020-2024, CONSIDERANDO:

1) Que cabe a esse Colégio Eleitoral organizar, conduzir, realizar e supervisionar o processo de consulta, junto à comunidade acadêmica da UTFPR, destinada a indicar nomes de docentes para a formação da lista tríplice de candidatos a Reitor da Instituição, para submissão ao Presidente da República por meio do Ministro de Estado da Educação.

2) Que o processo eleitoral para escolha do Reitor da UTFPR para o quadriênio 2020-2024, nos termos da legislação aplicável, trata-se de um processo administrativo levado a cabo no âmbito da Administração Pública, de grande relevância para a comunidade universitária e

munícipes/regionais em contiguidades aos 13 Campi da UTFPR, consoante ao compromisso/objetivo de desenvolvimento regional positivada na sua lei de criação;

3) Que a Administração Pública, sem desmerecimento de outros, obedecerá aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, segurança jurídica, supremacia do interesse público, publicidade e transparência dos atos.

4) Que Nos processos administrativos serão observados, entre outros, os critérios de:

(10)

a. atuação conforme a lei e o Direito;

b. atuação segundo padrões éticos de probidade, decoro e boa-fé;

c. divulgação oficial dos atos administrativos, ressalvadas as hipóteses de sigilo previstas na Constituição;

d. observância das formalidades essenciais à garantia dos direitos dos administrados, nesse caso os eleitores e candidatos;

e. adoção de formas simples, suficientes para propiciar adequado grau de certeza, segurança e respeito aos direitos dos administrados eleitores e candidatos;

f. a transparência deve ser a regra no Estado Democrático de Direito, sendo o sigilo a exceção.

5) Que o processo de votação eletrônica, não obstante possível ilegalidade pela não previsão legal, é o modus pelo qual está se desenvolvendo esta Consulta (eleição para reitor –UTFPR). 6) A segurança, integridade e conformidade do processo, portanto, são de responsabilidade desse Colégio Eleitoral.

7) A indicação do senhor Douglas do Amaral, Pesquisador em Cibersegurança, como Fiscal Técnico por parte do candidato Schiefler, consoante artigo 25, IV da Deliberação COUNI nº 13, de 25/05/2020.

8) A participação do referido fiscal no acompanhamento da Configuração da votação simulada em 19/06/2020.

9) As fragilidades e recomendações constante do Relatório SEI (1490936): Recomendações

ao Colégio Eleitoral elaborado pelo já qualificado técnico – Douglas Amaral. DOCUMENTO SEI (1490936).

10) Que, conforme descrito no referido relatório/recomendações, para se ter segurança acerca de uma determinada ferramenta, considerando os princípios e orientações da cibersegurança, faz-se necessário analisar não apenas a ferramenta utilizada em si, mas todo o conjunto de softwares e suas correlações, bem como os grupos de indivíduos que interagem com esses softwares. 11) Que, conforme descrito no referido relatório/recomendações, por mais que a implementação de um software tenha um bom nível de segurança por meio de uso de diversos algoritmos e ferramentas, é possível manipular os dados e comportamento do software extrapolando as interfaces definidas, como por exemplo, o fato do sistema Helios Voting ser um processo de votação online que utiliza serviços de e-mail, ataques de engenharia social e phishing

poderiam mudar o resultado de uma votação sem que uma vulnerabilidade seja explorada no sistema de votação em si.

12) A necessária garantia por parte desse colégio eleitoral e da instituição quanto à segurança,

integridade e conformidade do sistema/procedimento de eleição eletrônica.

PEDIDOS

(11)

Respeitosamente, haja vista a urgência em função da data do pleito, com fundamento nos princípios invocados e fatos descritos, solicitamos enquanto campanha do candidato Schiefler:

I – Que seja publicada a lista de softwares com suas versões que serão utilizados para executar o sistema de votação, como sistema operacional, bibliotecas, interpretadores e banco de dados. Um exemplo disso é o próprio arquivo de instalação das dependências de pacotes Python que o Helios Voting utiliza, presente no arquivo requirements.txt, que foi suprimido do código fonte disponibilizado, este arquivo lista todas as versões de bibliotecas Python que serão instaladas, facilitando uma análise de segurança.

II – Que para que se tenha um bom conhecimento da superfície de ataque, para que a confiabilidade e transparência do processo como um todo aumentem, seja também

disponibilizada imagem do sistema operacional com as ferramentas instaladas, para que seja possível a realização de uma melhor análise, lembrando que chaves e segredos devem ser retirados do arquivo disponibilizado.

III – Que seja publicizado diagrama de fluxo de dados para uma melhor transparência ao processo, para que todas as partes e comunidade/controle social, tenham ciencia de como o sistema

funciona, identificando também os indivíduos ou entidades com acessos privilegiados. Para exemplificar, a título de fragilidade, um usuário com acesso aos servidores, poderia extrair manualmente as senhas dos eleitores por meio do arquivo/scriptextract-passwords-for-email.py disponível no código fonte do Helios Voting, podendo também (Frise-se não se tem aqui a mínima intenção de fazer-se acusações prévias, e sim, somente contribuir para uma maior integridade do sistema) manipular registros (logs) e e-mails enviados.

IV – Que, tendo em vista a arquitetura do Helios Voting ser totalmente baseada na confiança que todas as partes possuem no administrador do sistema, seja realizado e publicizado um

mapeamento de todos os indivíduos que possuem acessos aos sistemas de e-mail, autenticação, LDAP, bancos de dados e também aos servidores físicos ou virtualizados em si, haja vista a necessidade para auxiliar os fiscais técnicos e eventuais auditores técnicos externos durante o processo de consulta.

V - Que o armazenamento das chaves criptográficas do sistema em si, como também as chaves geradas pelos apuradores da eleição dentro do sistema Helios Voting, sejam todas elas

armazenadas em mídia criptografada, para assegurar que não ocorra qualquer vazamento de chaves devido à possíveis eventuais perdas dessas mídias.

VI – Que, tendo em vista o fato de a lista de todos os eleitores geradas e carregadas durante a configuração do sistema de votação ser um arquivo que possui os nomes e endereços de e-mail de todos os eleitores em formato comma-separated-values (CSV), e também pelo fato de que a forma como esse arquivo foi gerado não estar divulgada, fato que dificulta uma possível

verificação, podendo levar a uma possível eventual modificação de valores por um eventual agente mal intencionado, QUE antes que o processo ocorra, SEJA REALIZADA A VERIFICAÇÃO por auditores externos, afim de eliminar qualquer modificação ou erro não intencional. Pede-se, também, neste particular, a divulgação pública dos checksums MD5 de todos os arquivos.

VII – Que pelo fato de esta versão do sistema Helios Voting utilizar-se tanto um sistema de e-mail para envio das credenciais de acesso, como autenticação dos eleitores pelo serviço LDAP, pode, assim, uma vulnerabilidade em algum desses sistemas comprometer o resultado da consulta, por isso PEDE-SE um levantamento do estado desses serviços, como versões e vulnerabilidades cadastradas no Common Vulnerabilities and Exposures (CVE).

VIII – Que seja publicizada de imediato à comunidade em todos os canais de comunicação da universidade a impossibilidade de garantia da Pessoalidade do voto, evidenciando que uma

(12)

das falhas do sistema Helios Voting quando ele é utilizado pela internet é a não garantia da pessoalidade do voto, como descrito no trabalho publicado pelo Instituto Federal de Santa Catarina, autor e mantenedor da versão do sistema utilizada nesse processo.

IX – Que para evitar-se possíveis eventuais conflitos de interesses, respeitadas as competências técnicas do pessoal interno à UTFPR, seja todo o processo e sua condução, a partir do ponto em que se encontra no momento do recebimento deste ofício, transferido para entidade externa sem qualquer vínculo com a instituição.

X – Que por todas as fragilidades evidenciadas TENHA-SE A GARANTIA DESSE COLÉGIO ELEITORAL PERANTE A COMUNIDADE, que as mesmas serão mitigadas pelo

acompanhamento de autores externos, oriundos, preferencialmente dos órgãos de controle, e que tenham experiência forense comprovada em cibersegurança para procederem

recomendações/orientações à comissão técnica acerca de análises e ações a serem praticadas na ocasião da preparação do sistema para a consulta do dia 30 de junho.

XI – Que não seja o processo realizado sem que seja assegurada à comunidade a segurança invocada no Item X supra, bem como nos anteriores a ele.

XII - Que nos termos do artigo 25 - VI da Deliberação COUNI nº 13, de 25/05/2020, caso ainda não tenha sido feito, sejam de imediato oficiadas as entidades/órgãos previstos no referido dispositivo: Ministério Público, Polícia Federal e/ou ao Tribunal Regional Eleitoral, para que, sem prejuízo de outras auditorias concorrentes, acompanhem e auditem todo o processo de votação até o final da apuração de votos. Tal oficiamento possibilitará, desde já, que as referidas

entidades/órgãos, tenham tempo hábil para responder ao ofício recebido para que, em caso de eventual negativa, ESTE COLÉGIO ELEITORAL providencie, institucionalmente, com fundamento no artigo 4º da mesma Deliberação COUNI, de imediato e ao tempo justo para eficácia da ação, a contratação de entidade/órgão de auditoria que tenha experiência forense comprovada em

cibersegurança para procederem a mencionada auditagem do processo e da apuração. XIII – Que as respostas aos pedidos aqui elencados, tendo em vista a urgência e relevância, sejam decididas e publicizadas em até 3 dias contados do recebimento deste ofício.

XIV - Que em sendo negativo o acatamento a quais quer dos pedidos elencados nos itens de I a XIII supra, nos termos da legislação vigente, SEJA demonstrada e justificada a motivação

legal/razoável para tal.

Atenciosamente

Antonio Gonçalves de Oliveira Docente – Câmpus Cuiritiba

Coordenação Campanha Candidato Schiefler

Conselheiro Universitário – Representante Docente do Câmpus Curitiba

Documento assinado eletronicamente por ANTONIO GONCALVES DE OLIVEIRA, PROFESSOR DO MAGISTERIO SUPERIOR, em 23/06/2020, às 16:10, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

(13)

A auten cidade deste documento pode ser conferida no site https://sei.utfpr.edu.br/sei/controlador_externo.php? acao=documento_conferir&id_orgao_acesso_externo=0, informando o código veriﬁcador 1490885 e o código CRC

D426CFB9.

Referência: Caso responda este Ofício, indicar expressamente o Processo nº 23064.019197/2020-63 SEI nº 1490885

(14)

Recomendações ao Colégio Eleitoral

22 de Junho de 2020

Resumo

Diante a importância do processo de consulta a comunidade para

es-colha do reitor da UTFPR, empregando um sistema computacional para

viabilizar o voto dos eleitores no período de pandemia, esse documento traz

algumas recomendações ao Colégio Eleitoral, com o intuito de melhorar a

confiabilidade e integridade do processo.

Recomendações

Esta seção introduz alguns conceitos de segurança cibernética e arquitetura segura de infraestrutura e software, e recomenda algumas ações a serem tomadas pelo Colégio Eleitoral para uma melhor realização do processo.

1

(15)

Softwares utilizados

A instituição optou pelo uso do sistema Helios Voting [1], porém pelo uso de uma versão modificada pelo Instituto Federal de Santa Cantarina [2], que adiciona algumas funções e a possibilidade de autenticação por Lightweight Directory Access Protocol (LDAP). O código fonte foi disponibilizado pela comissão técnica, junto com os checksums MD5 dos arquivos [3].

Para que uma análise de segurança seja realizada com um bom grau de as-sertividade, é necessário analisar não apenas a ferramenta utilizada em si, mas todo o conjunto de softwares e suas correlações, como também os indivíduos que interagem com esses softwares. Com posse dessas informações é possível traçar um cenário de ataque, como também a superfície de ataque [4].

Lembrando que por mais que a implementação de um software tenha um bom nível de segurança por meio de uso de diversos algoritmos e ferramentas, é possí-vel manipular os dados e comportamento do software extrapolando as interfaces definidas, como por exemplo, o fato do sistema Helios Voting ser um processo de votação online que utiliza serviços de e-mail, ataques de engenharia social e phishing poderiam mudar o resultado de uma votação sem que uma vulnerabili-dade seja explorada no sistema de votação em si (Figura 1).

2

(16)

Figura 1: Visão geral de ataques, alvos e consequências [5]

Logo é necessário que seja publicada a lista de softwares com suas versões que serão utilizados para executar o sistema de votação, como sistema operacional, bibliotecas, interpretadores e banco de dados. Um exemplo é o próprio arquivo de

3

(17)

instalação das dependências de pacotes Python que o Helios Voting utiliza, pre-sente no arquivo requirements.txt, que foi suprimido do código fonte disponibili-zado, este arquivo lista todas as versões de bibliotecas Python que serão instaladas, facilitando uma análise de segurança (Figura ).

Figura 2: Arquivo com versões de bibliotecas utilizadas pelo sistema [2]

Assim deve-se não levar em consideração a análise do software em si, mas sim de todo o conjunto de ferramentas que possibilitam a sua execução (Figura ), pois com um bom conhecimento da superfície de ataque, a confiabilidade e transparên-cia do processo como um todo aumenta. Recomenda-se também disponibilização da imagem do sistema operacional com as ferramentas instaladas, para que uma melhor análise seja realizada, lembrando que chaves e segredos devem ser retirados do arquivo disponibilizado.

4

(18)

Figura 3: Pilha de softwares resumida utilizados pelo sistema

Modelo de Segurança

Ao analisar uma solução computacional que requer um elevado grau de confiabili-dade, existem diversos métodos que podem ser utilizados [6], um modelo simples e eficaz é o Data Flow Diagram (DFD). Esse modelo identifica módulos chaves da arquitetura proposta, seus domínios e também os indivíduos que possuem acesso aos sistemas, ou interagem com ele.

5

(19)

Figura 4: Exemplo de diagrama DFD

Esse diagrama de fluxo de dados traria uma melhor transparência ao processo, pois todas as partes estariam cientes de como o sistema funciona, identificando também os indivíduos ou entidades com acessos privilegiados que poderiam fazer mal uso desses acessos. Para exemplificar, um usuário com acesso aos servidores, poderia extrair manualmente as senhas dos eleitores por meio do arquivo/script extract-passwords-for-email.py disponível no código fonte do Helios Voting, po-dendo também manipular registros (logs) e e-mails enviados [7].

6

(20)

Curadores

A arquitetura do Helios Voting é totalmente baseada na confiança que todas as partes possuem no administrador do sistema, logo um mapeamento de todos os indivíduos que possuem acessos aos sistemas de e-mail, autenticação e também aos servidores físicos em si é necessário, isso iria auxiliar os fiscais técnicos e um possível auditor técnico externo durante o processo de consulta.

A recomendação é que os indivíduos detentores de confiança não sejam eleitores no processo, para evitar assim um conflito de interesses, e se possível que eles sejam de uma entidade externa sem qualquer vinculo com a instituição, para evitar toda e qualquer manipulação no processo.

Armazenamento de chaves criptográficas

Uma recomendação simples, porém importante, é quanto o armazenamento das chaves criptográficas do sistema em si, como também as chaves geradas pelos apu-radores da eleição dentro do sistema Helios Voting, todas elas devem ser armaze-nadas em mídia criptografada, para assegurar que não ocorra qualquer vazamento de chaves devido a perda dessas mídias.

7

(21)

Lista de eleitores

Durante a configuração do sistema de votação, é gerada e carregada uma lista de todos os eleitores. Esse arquivo possui os nomes e endereços de e-mail de todos os eleitores em formato comma-separated-values (CSV). Porém a forma que esse ar-quivo foi gerado não foi divulgada, dificultando uma possível verificação e levando a uma possível modificação de valores por um agente mal intencionado. Uma re-comendação é que antes que o processo ocorra, a criação e verificação da lista de eleitores por um auditor externo seja realizada, afim de eliminar qualquer modi-ficação ou erro não intencional, assim como a divulgação publica dos checksums MD5 de todos os arquivos.

Audição em sistemas acessórios

Esta versão do sistema Helios Voting utiliza tanto um sistema de e-mail para envio das credenciais de acesso, como autenticação dos eleitores pelo serviço LDAP [8], assim uma vulnerabilidade em algum desses sistemas pode comprometer o resul-tado da consulta. É necessário um levantamento do esresul-tado desses serviços, como versões e vulnerabilidades cadastradas no Common Vulnerabilities and Exposures (CVE) [9]. Após esse levantamento e com a garantia de integridade dos sistemas o processo poderá ocorrer com maiores garantias.

8

(22)

Pessoalidade do voto

Uma das falhas do sistema Helios Voting quando ele é utilizado pela internet é a não garantia da pessoalidade do voto, como descrito no trabalho publicado pelo Instituto Federal de Santa Catarina [10], autor e mantenedor da versão do sistema utilizada nesse processo. Logo é recomendável uma consulta pública quanto essa questão, e o quão impeditiva ela é ao processo.

Auditor especialista externo

Apesar do processo atualmente contar com um auditor externo do Tribunal Regi-onal Eleitoral, fica evidenciado a necessidade da introdução de um auditor técnico com experiência em forense digital e detecção de fraudes para atuação de forma mais presente, recomendando diretamente ao comitê técnico ações e análises a se-rem tomadas na ocasião de preparação do sistema para a consulta de 30 de junho.

9

(23)

Douglas do Amaral, Pesquisador em Cibersegurança Fiscal técnico

Conforme deliberação 23/2020-COUNI UTFPR

Referências

[1] benadida/helios-server: Helios server. URL: https://github.com/benadida/

helios-server.

[2] ifsc/helios-server: Helios server. URL:

https://github.com/ifsc/helios-server.

[3] Colégio Eleitoral da consulta para reitor da UTFPR - 2020 — Universidade

Tecnológica Federal do Paraná UTFPR. URL: http://portal.utfpr.edu. br/comissoes/consulta/consulta-para-reitor-2020.

[4] P. K. Manadhata e J. M. Wing, «An attack surface metric», IEEE Tran-sactions on Software Engineering, vol. 37, n.º 3, pp. 371–386, 2011, issn: 00985589. doi: 10.1109/TSE.2010.60.

10

(24)

[5] A. M. Shabut, K. T. Lwin e M. A. Hossain, «Cyber attacks, countermeasures, and protection schemes A state of the art survey», em SKIMA 2016 -2016 10th International Conference on Software, Knowledge, Information Management and Applications, Institute of Electrical e Electronics Engineers Inc., mai. de 2017, pp. 37–44, isbn: 9781509032976. doi: 10.1109/SKIMA. 2016.7916194.

[6] Threat Modeling: Designing for Security - Livros na Amazon Brasil- 0001118809998.

URL: https://www.amazon.com.br/Threat-Modeling-Designing-Adam-Shostack/dp/1118809998.

[7] S. Greenhalgh, S. Goodman, P. Rosenzweig e J. Epstein, «Email and In-ternet Voting: The Overlooked Threat to Election Security», rel. téc. URL: https : / / www . acm . org / binaries / content / assets / public - policy / jtreportemailinternetvoting.pdf.

[8] (2) LDAP Injection in Django | LinkedIn. URL: https://www.linkedin.

com/pulse/ldap-injection-django-jerin-jose/.

[9] CVE - Common Vulnerabilities and Exposures (CVE). URL: https://cve.

mitre.org/.

[10] S. Aparecida De Chaves e E. Ribeiro De Mello, «O uso de um sistema de votação on-line para escolha do conselho universitário», rel. téc. URL: https: //dtic.ifsc.edu.br/files/chaves-sbseg14.pdf.

11